Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Habe einen Fund und bin recht ratlos

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.04.2007, 21:28   #1
Woodpecker
 
Habe einen Fund und bin recht ratlos - Standard

Habe einen Fund und bin recht ratlos



Hallo an die Experten, bin recht ratlos. Mein Antivir meldet den Trojaner TR/Drop.Agent.38424. Habe ihn in Quarantäne gestellt. Lass ich aber das Programm Ad aware laufen kommt während des Scan Vorgangs wieder eine Virenwarnung über den gleichen Plagegeist. Als Quelle nennt er eine Datei A0039506.exe . In Google wurde ich nicht fündig. Außerdem findet HJt die Datei ntos.exe über die ich auch nichts gutes gelesen habe. Das Logfile füge ich bei. Wie werde ich den Trojaner problemlos los und was tut er? Ich konnte im Web nichts finden. Danke für Eure Hilfe.

Logfile of HijackThis v1.99.1
Scan saved at 21:54:08, on 02.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\Personal Firewall\MpfService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\PROGRA~1\McAfee.com\Personal Firewall\MpfTray.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\progra~1\mcafee\mcafee antispyware\masalert.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\PROGRA~1\McAfee.com\Personal Firewall\MpfAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Nützliche Progs\HIJackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: PopUpBlocker ; XpTuner2004 - {49E0E0F0-5C30-11D4-945D-000000000010} - C:\PROGRA~1\SIMONT~1\XP-TUN~1\PopUp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\Personal Firewall\MpfTray.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\mcafee antispyware\masalert.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {60A4753E-45EE-497E-9FE9-92844F48103E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {60A4753E-45EE-497E-9FE9-92844F48103E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4997/mcfscan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\progra~1\mcafee\mcafee antispyware\massrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\Personal Firewall\MpfService.exe
__________________
Thanks for help
Woody

Alt 02.04.2007, 22:07   #2
KarlKarl
/// Helfer-Team
 
Habe einen Fund und bin recht ratlos - Standard

Habe einen Fund und bin recht ratlos



Hi,

sieht danach aus, daß all deine Passwörter und Zugangsdaten ausgespäht wurden. Die müssen dann umgehend von einem sauberen Computer aus geändert werden.

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
  • Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
  • Geschützte Systemdateien ausblenden -> Haken weg
  • Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
  • Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Geh zu VirusTotal und lass dort die C:\WINDOWS\system32\ntos.exe scannen, kopiere die Ergebnisse hierher.

Falls der Upload nicht klappt oder bei Virustotal angezeigt wird, daß die Dateigröße 0 Byte ist (ich rechne damit), dann lade dir den Process Explorer, entpacke das Zip und starte ihn. Im Menü die Find-Funktion öffnen (oder Strg-F), dort "ntos.exe" (ohne "") eingeben und suchen lassen. Es dürfte eine Meldung über ein geöffnetes Handle in winlogon.exe geben. Doppelklick darauf markiert die richtige Stelle im unteren Teil des Fensters von ProzessExplorer. Dort einen Rechtsklick drauf machen -> Handle schließen. Jetzt sollte es klappen. Dann am besten auch gleich mit dem Explorer in den system32 Ordner gehen und die Datei umbenennen, damit sie beim nächsten Start nicht mehr aktiv werden kann.

Gruß, Karl
__________________


Alt 03.04.2007, 22:41   #3
mamudo
 
Habe einen Fund und bin recht ratlos - Standard

Habe einen Fund und bin recht ratlos



Hi,

hatte das gleiche Problem, das ich mit Spybot gefunden habe:



Konnte keine der 4 Einträge löschen. Habe nun aber Danke des Tipps von @KarlKarl mit dem "Process Explorer" geschafft sie zu löschen.

Meine Frage ist nun: Muss ich alle Passwörter und Zugangsdaten neu erstellen? Oder nur die Kennwörter, die auf meinem rechner gespeichert sind?

Bitte um kurzen Statement

Greetz,

mamudo
__________________

Alt 04.04.2007, 09:25   #4
KarlKarl
/// Helfer-Team
 
Habe einen Fund und bin recht ratlos - Standard

Habe einen Fund und bin recht ratlos



Das Problem bei der Seuche ist, daß sie einen Thread in winlogon.exe einfügt, der ihre Dateien exklusiv geöffnet hält, so daß kein anderer Zugriff drauf möglich ist. Außerdem bewacht der Thread die Registryeinträge, mit "fixen" ist da (wie meistens) auch nichts zu machen. Der Versuch winlogon.exe zu beenden fürht zum sdofortigen Bluescreen. Durch das beschriebene Zwangsschließen kann man die ntos.exe entfernen. Nach dem nächsten Neustart ist dann der Thread in winlogon.exe nicht mehr vorhanden, dann kann man den Rest aufräumen.

Die audo.dll und die video.dll sind in Wirklichkeit keine DLL-Dateien, die eine enthält die Konfiguration der Seuche, die andere die abgegriffenen Passwörter, beide verschlüsselt. Die samt dem Ordner wsnpoem ebenfalls löschen.

Wichtig ist, daß alle Passwörter für Mailkonten, Webseiten, Onlinebanking, Ebay, usw. geändert werden. Einfach alles, was auf diesem Rechner jemals benutzt worden ist. Das darf natürlich nur von einem garantiert sauberen Rechner aus geschehen, sonst ist es sinnlos. Falls sich deine Frage darauf bezog, ob auch Kennwörter für Netzwerkfreigaben und die Windowsanmeldung betroffen sind: Ist mir nicht bekannt, ist aber auf jeden Fall gut, die auch gleich zu wechseln.

Alt 04.04.2007, 15:58   #5
Woodpecker
 
Habe einen Fund und bin recht ratlos - Standard

Habe einen Fund und bin recht ratlos



Hallo, vielen Dank erstmal. Den beschriebenen Trojaner bin ich los geworden in dem ich die Wiederherstellungskonsole deaktiviert habe und im abgesicherten Modus die Datei entfernt habe. Probleme bereitet mir noch ntos.exe. Selbst wenn ich alle dateien sichtbar mache, kann ich diese datei nicht im Ordner Windows/System 32 finden. HJT zeigt sie aber nach wie vor an. Wo sitzt denn das Teufelsding ?

__________________
Thanks for help
Woody

Alt 04.04.2007, 18:09   #6
KarlKarl
/// Helfer-Team
 
Habe einen Fund und bin recht ratlos - Standard

Habe einen Fund und bin recht ratlos



Das HijackThis Log besteht aus mehreren Teilen: Unter dem Kopf (Windowsversion, usw) stehen "running processes", was dort auftaucht, ist vorhanden (sehr seltene Ausnahmen mal abgesehen). Der darauf folgende Teil (ab "R0 ...") sind Starteinträge für Dateien, die bestimmen was auf dienem System mitstartet (plus. Konfiguration Interne Explorer, ...). Wenn man die Dateien entfernt, bleiben diese Einträge davon unberührt. Da steht dann, daß die Datei ntos.exe gestartet werden soll. Es kann sein, daß sie aber fehlt, dann wird das ignoriert (bestimmte Starteinträge erzeugen allerdings eine Fehlermeldung). Das ist kein Beleg, daß die Datei wirklich noch esistiert. Um diese Starteinträge zu entfernen, kann man dann mit Hijackthis "fixen", d.H. man macht in das Feld vor der jeweiligen Zeile einen Haken und wählt dann "Fix checked". Es empfiehlt sich, danach das System neu zu starten und in einem neuen HijackThis zu kontrollieren, ob die Zeilen nicht wieder aufgetaucht sind. In deinem Log von oben ist das die Zeile:
Code:
ATTFilter
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
         

Alt 04.06.2007, 20:52   #7
King-Gamer
 
Habe einen Fund und bin recht ratlos - Standard

Habe einen Fund und bin recht ratlos



Hallo,
da ich das gleiche Problem habe,...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Geändert von King-Gamer (04.06.2007 um 21:18 Uhr)

Antwort

Themen zu Habe einen Fund und bin recht ratlos
ad aware, antispyware, antivir, antivir meldet, avg, avira, bho, defender, einstellungen, excel, google, helper, hijack, hijackthis, internet, internet explorer, logfile, programm, quara, scan, server, software, system, thomas, trojaner, userinit.exe, warnung, windows, windows defender, windows xp



Ähnliche Themen: Habe einen Fund und bin recht ratlos


  1. Habe Telekom Rechnung geöffnet! Bin mir nicht sicher, ob ich einen Trjoaner eingefangen habe
    Plagegeister aller Art und deren Bekämpfung - 08.06.2014 (15)
  2. Ich habe 2 DllHost.exe Prozesse, Habe ich mir einen Virus eingefangen?
    Log-Analyse und Auswertung - 29.08.2013 (9)
  3. Habe einen virus! aber was für einen ?
    Log-Analyse und Auswertung - 17.07.2013 (8)
  4. 2x | Habe einen virus !aber was für einen?
    Mülltonne - 20.05.2013 (0)
  5. Gmx Mail Account gehackt? Habe ich einen Trojaner oder einen Spybot auf dem Rechner?
    Log-Analyse und Auswertung - 01.05.2013 (18)
  6. ich glaub ich habe einen virus(trojaner>JS/Exploit-Blacole.ht< unter anderen.) sorry habe im ersten thema so ziemlich alles falsch gemacht
    Mülltonne - 21.12.2012 (4)
  7. Habe ich einen Keylogger?
    Log-Analyse und Auswertung - 26.03.2012 (1)
  8. Benötige einen Check meiner Dienste, evtl. habe ich einen Virus, der meinen PC überwacht!
    Log-Analyse und Auswertung - 19.12.2011 (10)
  9. Ich habe einen Virus
    Plagegeister aller Art und deren Bekämpfung - 08.12.2011 (1)
  10. Ich habe einen Virus !
    Plagegeister aller Art und deren Bekämpfung - 04.12.2011 (3)
  11. Guten Morgen ich habe ein Gefühl ich habe nun einen Virus/Trojaner
    Log-Analyse und Auswertung - 23.12.2009 (1)
  12. Habe einen Virenvedacht
    Log-Analyse und Auswertung - 17.10.2009 (3)
  13. Habe einen Keylogger
    Mülltonne - 05.01.2009 (0)
  14. Habe ich da einen Virus?
    Log-Analyse und Auswertung - 24.10.2007 (2)
  15. Habe ich einen Trojaner/HiJacker oder nicht? Bin ratlos und bitte um Hilfe!
    Log-Analyse und Auswertung - 22.10.2007 (1)
  16. Habe ich einen Trojaner??
    Log-Analyse und Auswertung - 18.08.2007 (3)
  17. einen Wunsch habe ich...
    Lob, Kritik und Wünsche - 07.07.2006 (2)

Zum Thema Habe einen Fund und bin recht ratlos - Hallo an die Experten, bin recht ratlos. Mein Antivir meldet den Trojaner TR/Drop.Agent.38424. Habe ihn in Quarantäne gestellt. Lass ich aber das Programm Ad aware laufen kommt während des Scan - Habe einen Fund und bin recht ratlos...
Archiv
Du betrachtest: Habe einen Fund und bin recht ratlos auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.